Gartner发布2023年中国安全技术成熟度曲线

Gartner于近日发布了2023年中国安全技术成熟度曲线，该曲线旨在帮助CIO和SRM领导者了解中国本土创新特点，优化中国安全投资。Gartner高级研究总监高峰先生表示：“在过去的一年中，中国运营的企业机构面临诸多挑战：经济增长低于预期，限制了预算额度；日益严格的监管要求和日益增加的数字风险，意味着需要追加安全投资。企业机构必须平衡各项挑战，确保安全投资的优先级。”

今年最新的中国安全技术成熟度曲线（参见图1）介绍了中国安全领域的创新，包括四项新的创新：

• 数据安全治理
• 暴露面管理
• 中国的隐私保护
• 安全服务边缘

图1：2023年中国安全技术成熟度曲线

数据安全治理

数据安全治理（DSG）可对由数据安全、隐私与合规问题引起的业务风险进行评估和优先级排序。由于数据需要跨生态系统处理或与合作伙伴共享，数据安全性、数据驻留和隐私方面会产生一些风险，而数据安全治理有助于企业机构建立数据安全策略，以支持业务成果，平衡业务需求与相关风险。

本地和多云架构中数据量的激增，导致了一系列安全、隐私与合规方面的业务风险，而数据安全治理能够对这些风险进行评估、排序和缓解。数据安全治理通过适用于整个IT架构的安全策略来实现业务重点和风险控制之间的平衡，让企业专有的数据集可以基于排序后的业务风险在企业机构内外部处理和共享。

暴露面管理

暴露面管理涵盖一组流程和技术，使企业能够持续一致地对可见性进行评估，并对企业数字资产的可访问性和漏洞进行验证。有效的持续威胁暴露面管理（CTEM）计划可为暴露面管理提供治理。

由于在经济和地缘政治方面具有重要影响，中国已成为网络攻击的主要目标。随着攻击面的迅速扩大，传统的漏洞管理已无法满足需求。有效的暴露面管理能够通过对威胁暴露面进行盘点、优先级排序和验证，来减少中国企业机构所面临的挑战。暴露面管理还可协助中国企业机构遵守敏感数据保护和关键基础设施方面的网络安全法规。

中国的隐私保护

中国的隐私保护主要受《中华人?共和国个人信息保护法》（以下简称个人信息保护法） 监管，同时也需要遵守特定行业、跨行业和跨境数据传输的相关法规。虽然个人信息保护法与欧盟《通用数据保护条例》（GDPR）等隐私保护法律存在相似之处，但具体要求有所不同，并且由多个监管机构指导执行。

个人信息保护法极大地改变了中国的法律和监管格局。此前，相关领域的主要执法依据是网络安全法和个人信息安全标准的相关规定，而个人信息保护法则针对中国公民的个人数据保护，提供了一个范围更广的框架，还规定了严厉的处罚措施。

安全服务边缘

安全服务边缘（SSE）可对Web、云服务和私有应用访问进行保护，主要功能包括自适应访问控制，以及数据安全性、可见性和可控性；其他功能包括高级威胁防御，以及可接受的使用控制（基于网络和应用编程接口[API]集成而实施）。SSE的主要交付形式为云服务，可能包含本地组件或基于代理的组件。

 SSE可提高企业机构灵活性，为Web、云服务和远程工作模式的使用提供保护。中国的SSE 产品融合了不同安全功能（至少融合了安全Web网关[SWG]和零信任网络访问[ZTNA]）， 通过额外的软件即服务（SaaS）安全功能来降低复杂性、改善用户体验。此类产品可在本地或云中交付。如果SSE与软件定义广域网（SD-WAN）搭配使用，可形成安全访问服务边缘（SASE）架构。